Am 1. Dezember 2021 ist das Gesetz über den Datenschutz und den Schutz der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG) in Kraft getreten. Das Gesetz soll die Datenschutzvorschriften aus dem Telekommunikationsgesetz (TKG) und Telemediengesetz (TMG) zusammenzuführen, verbessern und Rechtsunsicherheiten beseitigen. In den Anwendungsbereich des TTDSG fallen unter anderem Webseiten und Apps.

Durch das Gesetz sollen unerwünschte Zugriffe auf Informationen verhindert werden, die auf Computern, Tablets oder Handys gespeichert sind. Hierzu ist im TTDSG nunmehr auch die Verwendung von Cookies geregelt.

Mittlerweile kennt sie wohl wirklich jeder, die kleinen „Kekse“. Scheinbar bedeutungslos, ihre Funktionsweise und ihr Zweck nur den wenigsten bekannt, wird ihrer Verwendung meist entnervt zugestimmt, in dem Bestreben, einfach in Ruhe auf der gewünschten Webseite surfen zu können.

Aber was genau machen diese Cookies denn nun eigentlich? Einfach gesagt beinhalten sie kleine Datensätze, die auf dem Endgerät gespeichert werden, wenn eine Webseite besucht wird. Die Nutzung der Webseite wird dadurch meist komfortabler, man spart sich etwa die wiederholte Eingabe von bereits übermittelten Informationen (z.B. bei einem Bestellprozess in einem Online-Shop). Dabei können mitunter aber auch personenbezogene Daten verarbeitet und an Werbetreibende übermittelt werden.

§ 25 TTDSG regelt nun, dass Cookies nur gesetzt werden dürfen, "wenn der Endnutzer auf der Grundlage von klaren und umfassenden Informationen eingewilligt hat”. Ausgenommen hiervon sind lediglich solche Cookies, die für das reibungslose Funktionieren der Webseite „unbedingt erforderlich“ sind. Eine Definition dieses unbestimmten Rechtsbegriffs sucht man im Gesetz leider vergeblich.
Ihren Ursprung findet die Regelung des § 25 TTDSG in dem Urteil „Planet49“ des EuGHs vom 01.10.2019. Darin war das europäische Gericht zu dem Ergebnis gekommen, dass vor dem Setzen und Auslesen von Cookies Einwilligungen einzuholen sind. Das Urteil deckte dabei eine Regelungslücke der deutschen Gesetze auf, denn Art. 5 Abs. 3 der sog. ePrivacy-Richtlinie der EU (dieser regelt den Einsatz von Cookies, entfaltet als Bestandteil einer bloßen „Richtlinie“ jedoch keine unmittelbare Wirkung in den Mitgliedstaaten) war in Deutschland zu diesem Zeitpunkt noch nicht in nationales Recht umgesetzt worden - obwohl die EU-Richtlinie bereits 2002 in Kraft getreten ist. Um den Vorgaben des EuGHs zum Einwilligungserfordernis gerecht zu werden, musste der BGH kreativ werden und legte schließlich § 15 Abs. 3 TMG im Sinne der ePrivacy-Richtlinie unter hohem rechtlichen Aufwand aus.

Mit dem TTDSG ist die Regelungslücke nun geschlossen worden.

Was gilt es also fortan zu beachten, wenn eine Webseite unter Einsatz von Cookies betrieben wird?

Sofern und soweit Cookies eingesetzt werden, die nicht unter einen der beiden Ausnahmetatbestände von § 25 Abs. 2 TTDSG fallen (also vor allem solche Cookies, die nicht für die Nutzung der Webseite unbedingt erforderlich sind), muss eine Einwilligung des Nutzers eingeholt werden, also z.B. für Cookies, die dem personalisierten Werbe-Tracking dienen.

Und wie hat man so eine Einwilligung einzuholen?

Darüber geben kürzlich verhängte Multi-Millionen-Bußgelder der französischen Datenschutzbehörde gegen Google und Facebook Aufschluss. In Frankreich gilt zwar nicht das TTDSG, die französischen Datenschutz- und Telemediengesetze sind allerdings genau wie die deutschen Gesetze im Lichte der europäischen ePrivacy-Richtlinie auszulegen, so dass die Sanktionierungen auch für deutsche Telemedien-Anbieter aufschlussreich sind.

Frankreichs Datenschutzbehörde kritisierte, dass Nutzer auf den Internetseiten von Google und Facebook Cookies nicht ebenso leicht ablehnen wie annehmen können. Bei Facebook müsse zum Ablehnen der Cookies sogar auf ein Feld geklickt werden, das "Cookies akzeptieren" heiße und daher missverständlich sei. Dies beeinträchtige die Einwilligungsfreiheit und verstoße gegen französisches Recht. Zwei Google-Töchter sollen deshalb zusammen 150 Millionen Euro Strafe zahlen, bei Facebook sind es 60 Millionen Euro.

Welche Lehren sollten also daraus gezogen werden? Die Gestaltung der sog. „Cookie-Banner“ hat in verständlicher und transparenter Form zu erfolgen. Dabei ist wichtig, dass Cookies, die nicht „unbedingt erforderlich“ sind, nicht bereits vorausgewählt und vom Nutzer erst „abgeklickt“ werden müssen. Ebenso sollten die Cookie-Einstellungen mit möglichst wenigen Klicks vollzogen werden und intuitiv erfolgen können. Hierzu sollte auch eine etwaige Farbgestaltung des Cookie-Banners passen: Werden die unbedingt erforderlichen Cookies mit einem grauen oder roten Feld hinterlegt, die optionalen Cookies jedoch mit einem grünen Feld, spricht dies für unzulässiges „Nudging“, also eine unzulässige Einflussnahme auf die freie Willensentscheidung des Webseiten-Nutzers (vgl. hierzu LG Rostock, Urteil vom 15.09.2020 – 3 O 762/19).

Es empfiehlt sich, den Einsatz von Cookies auf der eigenen Webseite auf den Prüfstand zu stellen und ggf. nachzubessern, um möglichen Abmahnungen und Bußgeldern zuvorzukommen. Bei der konkreten Umsetzung stehen wir Ihnen gerne mit Rat und Tat zur Seite.

Bild: ©Pixabay